Connector „Vectra XDR (mit Azure Functions)“ für Microsoft Sentinel

  • Artikel

Der Connector Vectra XDR bietet die Möglichkeit, Vectra-Erkennungs-, Überwachungs-, Entitätsbewertungs-, Sperr- und Integritätsdaten über die Vectra-REST-API in Microsoft Sentinel zu erfassen. Weitere Informationen hierzu finden Sie in der Dokumentation zur API: https://support.vectra.ai/s/article/KB-VS-1666.

Dieser Inhalt wurde automatisch generiert. Wenden Sie sich im Zusammenhang mit Änderungen an den Lösungsanbieter.

Connectorattribute

Connectorattribut BESCHREIBUNG
Azure-Funktions-App-Code https://aka.ms/sentinel-VectraXDR-functionapp
Kusto-Funktionsalias VectraDetections
URL der Kusto-Funktion https://aka.ms/sentinel-VectraDetections-parser
Log Analytics-Tabellen Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
Unterstützung für Datensammlungsregeln Derzeit nicht unterstützt
Unterstützt von Vectra-Unterstützung

Abfragebeispiele

Vectra-Erkennungsereignisse – alle Erkennungsereignisse.

Detections_Data_CL

| sort by TimeGenerated desc

Vectra-Überwachungsereignisse – alle Überwachungsereignisse.

Audits_Data_CL

| sort by TimeGenerated desc

Vectra-Entitätsbewertungsereignisse – alle Entitätsbewertungsereignisse.

Entity_Scoring_Data_CL

| sort by TimeGenerated desc

Vectra Sperrereignisse – alle Sperrereignisse.

Lockdown_Data_CL

| sort by TimeGenerated desc

Vectra-Integritätsereignisse – alle Integritätsereignisse.

Health_Data_CL

| sort by TimeGenerated desc

Voraussetzungen

Stellen Sie für die Integration in „Vectra XDR (mit Azure Functions)“ sicher, dass Folgendes vorhanden ist:

  • Microsoft.Web/sites-Berechtigungen: Lese- und Schreibberechtigungen für Azure Functions zum Erstellen einer Funktions-App sind erforderlich. Weitere Informationen zu Azure Functions finden Sie in der Dokumentation.
  • REST-API-Anmeldeinformationen/ -berechtigungen: Die Vectra-Client-ID und der geheime Clientschlüssel sind für Integrität, Entitätsbewertung, Erkennungen, Sperr- und Überwachungsdatensammlung erforderlich. Weitere Informationen finden Sie in der Dokumentation zur API: https://support.vectra.ai/s/article/KB-VS-1666.

Installationsanweisungen des Anbieters

Hinweis

Dieser Connector verbindet sich über Azure Functions mit der Vectra-API, um deren Protokolle in Microsoft Sentinel zu pullen. Dies kann zusätzliche Datenerfassungskosten verursachen. Ausführliche Informationen finden Sie auf der Seite mit der Preisübersicht von Azure Functions.

Optionaler Schritt Speichern Sie Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.

Hinweis

Dieser Datenconnector ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert und erwartungsgemäß funktionieren muss. Führen Sie die folgenden Schritte für den Erkennungs-Parser, Überprüfungs-Parser, Entitätsbewertungs-Parser, Sperr-Parser und Integritäts-Parser aus, um den Kusto-Funktionsalias, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown und VectraHealth zu erstellen.

SCHRITT 1: Konfigurationsschritte für die Anmeldeinformationen für die Vectra-API

Befolgen Sie diese Anweisungen, um eine Vectra-Client-ID und einen geheimen Clientschlüssel zu erstellen.

  1. Melden Sie sich bei Ihrem Vectra-Portal an
  2. Navigieren Sie zu „Verwalten –> API-Clients“.
  3. Wählen Sie auf der Seite API-Clients die Option „API-Client hinzufügen“ aus, um einen neuen Client zu erstellen.
  4. Fügen Sie einen Clientnamen hinzu, wählen Sie eine Rolle aus, und klicken Sie auf „Anmeldeinformationen generieren“, um Ihre Clientanmeldeinformationen abzurufen.
  5. Notieren Sie ihre Client-ID und den geheimen Schlüssel zur sicheren Aufbewahrung. Sie benötigen diese beiden Informationen, um ein Zugriffstoken von der Vectra-API abzurufen. Ein Zugriffstoken ist erforderlich, um Anforderungen an alle Vectra-API-Endpunkte zu senden.

SCHRITT 2: Wählen Sie EINE der folgenden beiden Bereitstellungsoptionen aus, um den Connector und die zugehörige Azure-Funktion bereitzustellen

WICHTIG: Für die Bereitstellung des Vectra-Datenconnectors müssen Sie die Arbeitsbereichs-ID und den Primärschlüssel des Arbeitsbereichs (die entsprechenden Informationen können wie folgt kopiert werden) sowie die Anmeldeinformationen zur Autorisierung für die Vectra-API zur Hand haben

Option 1: Azure Resource Manager-Vorlage (ARM)

Verwenden Sie diese Methode für die automatisierte Bereitstellung des Vectra-Connectors.

  1. Klicken Sie unten auf die Schaltfläche In Azure bereitstellen.

    In Azure bereitstellen

  2. Wählen Sie die bevorzugten Werte für Abonnement, Ressourcengruppe und Standort aus.

  3. Fügen Sie die folgenden Informationen hinzu:

    • Funktionsname
    • Arbeitsbereichs-ID
    • Arbeitsbereichsschlüssel
    • Vectra-Basis-URL https://<vectra-portal-url>
    • Vectra-Client-ID – Integrität
    • Geheimer Clientschlüssel von Vectra – Integrität
    • Vectra-Client-ID – Entitätsbewertung
    • Geheimer Clientschlüssel von Vectra – Entitätsbewertung
    • Vectra-Client-ID – Erkennungen
    • Geheimer Clientschlüssel von Vectra – Erkennungen
    • Vectra-Client-ID – Audits
    • Geheimer Clientschlüssel von Vectra – Audits
    • Vectra-Client-ID – Sperrmodus
    • Geheimer Clientschlüssel von Vectra – Sperrmodus
    • StartZeit (im Format TT/MM/JJJJ HH:MM:SS)
    • Name der Überwachungstabelle
    • Name der Erkennungstabelle
    • Name der Entitätsbewertungstabelle
    • Name der Sperrmodustabelle
    • Name der Integritätstabelle
    • Protokollebene (Standard: INFO)
    • Sperrmoduszeitplan
    • Integritätszeitplan
    • Erkennungszeitplan
    • Überwachungszeitplan
    • Entitätsbewertungszeitplan

  4. Aktivieren Sie das Kontrollkästchen Ich stimme den oben genannten Geschäftsbedingungen zu.

  5. Klicken Sie zum Bereitstellen auf Kaufen.

Option 2: Manuelle Bereitstellung von Azure Functions

Verwenden Sie die folgenden Schrittanweisungen, um den Datenconnector manuell mit Azure Functions bereitzustellen (Bereitstellung über Visual Studio Code).

1. Bereitstellen einer Funktions-App

HINWEIS: Für die Azure-Funktionsentwicklung müssen Sie VS Code vorbereiten.

  1. Laden Sie die Azure-Funktions-App-Datei herunter. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.

  2. Starten Sie Visual Studio Code. Wählen Sie im Hauptmenü „Datei“ und dann „Ordner öffnen“ aus.

  3. Wählen Sie den Ordner der obersten Ebene aus den extrahierten Dateien aus.

  4. Wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus. Wenn Sie noch nicht angemeldet sind, wählen Sie in der Aktivitätsleiste das Azure-Symbol und dann im Bereich Azure: Funktionen die Option Bei Azure anmelden aus. Wenn Sie bereits angemeldet sind, gehen Sie zum nächsten Schritt.

  5. Geben Sie nach entsprechender Aufforderung Folgendes ein:

    a. Ordner auswählen: Wählen Sie einen Ordner in Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, in dem Ihre Funktions-App gespeichert ist.

    b. Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.

    c. Wählen Sie Neue Funktions-App in Azure erstellen aus (wählen Sie nicht die Option „Erweitert“ aus).

    d. Global eindeutigen Namen für die Funktions-App eingeben: Geben Sie einen Namen ein, der in einem URL-Pfad gültig ist. Der eingegebene Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist. (z. B. VECTRAXXXXX).

    e. Runtime auswählen: Wählen Sie mindestens „Python 3.8“ aus.

    f. Wählen Sie einen Standort für neue Ressourcen aus. Wählen Sie zur Leistungsverbesserung und Kostensenkung dieselbe Region aus, in der sich Microsoft Sentinel befindet.

  6. Die Bereitstellung beginnt. Nach der Erstellung der Funktions-App wird eine Benachrichtigung angezeigt, und das Bereitstellungspaket wird angewendet.

  7. Wechseln Sie zum Azure-Portal, um die Konfiguration der Funktions-App anzuzeigen.

2. Konfigurieren der Funktions-App

  1. Wählen Sie im Bereich „Funktions-App“ den Namen der Funktions-App und dann Konfiguration aus.
  2. Wählen Sie auf der Registerkarte Anwendungseinstellungen die Option + Neue Anwendungseinstellung aus.
  3. Fügen Sie jede der folgenden Anwendungseinstellungen einzeln mit ihren jeweiligen Zeichenfolgenwerten hinzu (Groß-/Kleinschreibung beachten):
    • Arbeitsbereichs-ID
    • Arbeitsbereichsschlüssel
    • Vectra-Basis-URL https://<vectra-portal-url>
    • Vectra-Client-ID – Integrität
    • Geheimer Clientschlüssel von Vectra – Integrität
    • Vectra-Client-ID – Entitätsbewertung
    • Geheimer Clientschlüssel von Vectra – Entitätsbewertung
    • Vectra-Client-ID – Erkennungen
    • Geheimer Clientschlüssel von Vectra – Erkennungen
    • Vectra-Client-ID – Audits
    • Geheimer Clientschlüssel von Vectra – Audits
    • Vectra-Client-ID – Sperrmodus
    • Geheimer Clientschlüssel von Vectra – Sperrmodus
    • StartZeit (im Format TT/MM/JJJJ HH:MM:SS)
    • Name der Überwachungstabelle
    • Name der Erkennungstabelle
    • Name der Entitätsbewertungstabelle
    • Name der Sperrmodustabelle
    • Name der Integritätstabelle
    • Protokollebene (Standard: INFO)
    • Sperrmoduszeitplan
    • Integritätszeitplan
    • Erkennungszeitplan
    • Überwachungszeitplan
    • Entitätsbewertungszeitplan
    • logAnalyticsUri (optional)
  • Verwenden Sie „logAnalyticsUri“, um den Log Analytics-API-Endpunkt für die dedizierte Cloud zu überschreiben. Lassen Sie beispielsweise den Wert für die öffentliche Cloud leer. Geben Sie für die Azure-Cloudumgebung „GovUS“ den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.
  1. Nachdem Sie alle Anwendungseinstellungen eingegeben haben, klicken Sie auf Speichern.

Nächste Schritte

Weitere Informationen finden Sie in der entsprechenden Lösung im Azure Marketplace.